টিআইবির পর্যালোচনা

‘উপাত্ত সুরক্ষা আইন’ উদ্দেশ্য অর্জনে ব্যর্থ হবে

মানুষের ব্যক্তিগত তথ্যের নিরাপত্তায় ‘উপাত্ত সুরক্ষা আইন-২০২২’ শিরোনামে একটি আইন করতে যাচ্ছে সরকার। গতকাল সোমবার এ আইনের খসড়া নিয়ে এক ভার্চ্যুয়াল সংবাদ সম্মেলনে নিজেদের পর্যালোচনা ও সুপারিশ তুলে ধরে ট্রান্সপারেন্সি ইন্টারন্যাশনাল বাংলাদেশ (টিআইবি)। প্রথম আলোর পাঠকদের জন্য টিআইবির পর্যালোচনা ও সুপারিশ সংক্ষেপিত আকারে তুলে ধরা হলো।

  • বিশ্বের ১৩৭টি দেশে ব্যক্তিগত তথ্য সুরক্ষা বা তথ্যের গোপনীয়তা সম্পর্কে দেশীয় আইন রয়েছে। বাংলাদেশে এ–সম্পর্কিত কোনো আইন নেই। একটি আইন তৈরির উদ্যোগ প্রশংসনীয়।

  • দেশে কেবল একটি আইনের প্রয়োজনে খসড়া তৈরি হয়েছে। কিন্তু এর বাস্তবায়নের দিকগুলো বিবেচনা করা হয়নি। ধারণা করতে অসুবিধা হয় না যে এর ফলে এটি মূল উদ্দেশ্য অর্জনে ব্যর্থ হবে।

ব্যক্তিগত তথ্য সুরক্ষার জন্য বিশ্বের বিভিন্ন দেশ অনেক আগে থেকেই নানা উদ্যোগ এবং পদক্ষেপ নিয়েছে। ক্ষেত্রবিশেষে এসব উদ্যোগের পেছনে ব্যক্তির নিরাপত্তা, ব্যক্তিগত তথ্যের বাণিজ্যিক গুরুত্ব এবং ব্যক্তিগত জীবনে কোনো সিদ্ধান্ত নেওয়ার ক্ষেত্রে অন্যের দ্বারা প্রভাবিত না হওয়া ইত্যাদি বিষয় প্রাধান্য পেয়েছে।

বিশ্বের ১৩৭টি দেশে ব্যক্তিগত তথ্য সুরক্ষা বা তথ্যের গোপনীয়তা সম্পর্কে দেশীয় আইন রয়েছে। বাংলাদেশে এ–সম্পর্কিত কোনো আইন নেই। একটি আইন তৈরির উদ্যোগ প্রশংসনীয়।

কিছুদিন আগেও ‘তথ্য গোপনীয়তা ও সুরক্ষা বিধিমালা, ২০১৯’ শিরোনামে এ ধরনের একটি বিধিমালা তৈরির উদ্যোগ নেওয়া হয়েছিল। তার একটি খসড়াও অনলাইনে প্রকাশিত হয়েছিল। ওই খসড়াটি নিয়ে সমাজের নানা স্তরে নানা প্রতিক্রিয়ার সৃষ্টি হয়। পরে সরকারের পক্ষ থেকে দাবি করা হয় খসড়াটি ‘অফিশিয়াল’ নয়। তারা এটি প্রত্যাহার করে নতুনভাবে খসড়া তৈরি করে। নতুন এই খসড়া নিয়ে সবার প্রত্যাশা কিছুটা বেশি ছিল।

অনেক আগ্রহ নিয়ে নতুন খসড়া পর্যালোচনা করে সেখানেও নানা সীমাবদ্ধতা পরিলক্ষিত হয়। সীমাবদ্ধতাগুলোকে বড় দাগে (ক) আইনের খসড়ার সীমাবদ্ধতা এবং (খ) খসড়া বিলের আলোকে আইনটি প্রণীত হলে তা বাস্তবায়নের ক্ষেত্রে উদ্বেগ—এই দুই ভাগে ভাগ করে নিচে তুলে ধরা হলো।

ক. আইনের খসড়ার সীমাবদ্ধতা

ইতিমধ্যে করা বিশ্বের ১৩৭টি দেশের অভিজ্ঞতার আলোকে দেখা যাবে যে আলোচ্য আইনের খসড়ায় বেশ কিছু সীমাবদ্ধতা রয়েছে।

১.

আলোচ্য খসড়া আইনের শিরোনাম ‘উপাত্ত সুরক্ষা আইন, ২০২২’। এর ইংরেজি শাব্দিক অনুবাদ হলো ‘the Data Protection Act’। অনুমান বলে, বর্তমানে ইউরোপে প্রচলিত the General Data Protection Regulation আইন অনুসরণ করা হয়েছে এখানে। আর উপাত্ত শব্দটি নেওয়া হয়েছে, জনপ্রশাসন মন্ত্রণালয় থেকে প্রকাশিত “প্রশাসনিক পরিভাষা, ২০১৫” থেকে। ওই পরিভাষায় ডেটাকে (Data) বলা হয়েছে উপাত্ত।

Data Protection শব্দগুলো ব্যক্তিগত তথ্য সুরক্ষার জন্য ব্যবহার করা হলেও সব সময় Data Protection এই শব্দই ব্যবহার করতে হবে, এমন কোনো বাধ্যবাধকতা নেই। যুক্তরাজ্য, সুইডেন, মাল্টা, আয়ারল্যান্ড ইত্যাদি দেশ তাদের আইনের শিরোনামে ডেটা প্রটেকশন (Data Protection) শব্দগুলো ব্যবহার করেছে। কিন্তু কমপক্ষে ৬০টি দেশ (জাপান, দক্ষিণ কোরিয়া, চীন, দক্ষিণ আফ্রিকা ইত্যাদি) তাদের আইনের শিরোনামে ব্যক্তিগত তথ্য সুরক্ষা (Personal Information Protection) শব্দগুলো ব্যবহার করেছে। অন্যদিকে অন্তত ৩০টি দেশের আইনের শিরোনামে ‘গোপনীয়তা’ (Privacy) শব্দটি পাওয়া যাবে। কিছু কিছু দেশ আইনের শিরোনামে ব্যক্তিগত তথ্য সুরক্ষা (Personal Data Protection) শব্দগুলো ব্যবহার করেছে। তাহলে দেখা যাচ্ছে, আইনের শিরোনাম ভিন্ন হলেও আইন প্রণয়নের উদ্দেশ্য অভিন্ন, অর্থাৎ ব্যক্তিগত তথ্যের সুরক্ষা।

বাংলাদেশের ডিজিটাল নিরাপত্তা আইনের ২৬ ধারা থেকে ব্যক্তিগত তথ্যের ধারণা পাওয়া যায়। যেমন নাম, ছবি, ঠিকানা, জন্মতারিখ, মাতার নাম, পিতার নাম, স্বাক্ষর, জাতীয় পরিচয়পত্র, জন্ম ও মৃত্যুনিবন্ধন নম্বর, ফিঙ্গারপ্রিন্ট, পাসপোর্ট নম্বর, ব্যাংক হিসাব নম্বর, ড্রাইভিং লাইসেন্স, ই-টিআইএন নম্বর, ইলেকট্রনিক বা ডিজিটাল স্বাক্ষর, ব্যবহারকারীর নাম, ক্রেডিট বা ডেবিট কার্ড নম্বর, ভয়েস প্রিন্ট, রেটিনা ইমেজ, আইরিস ইমেজ, ডিএনএ প্রোফাইল, নিরাপত্তামূলক প্রশ্ন বা অন্য কোনো পরিচিতি। এগুলো সংগ্রহ, বিক্রি, দখল, সরবরাহ বা ব্যবহার করাকে একটি ফৌজদারি অপরাধ হিসেবে আইনে গণ্য করা হয়েছে।

বিশ্বের বিভিন্ন দেশে ব্যক্তিগত তথ্য সুরক্ষা আইনের শিরোনামে Personal Information এবং Personal Data শব্দগুলো হরহামেশা ব্যবহৃত হয়। বাংলাদেশের প্রেক্ষাপটে ডেটা শব্দটির আভিধানিক পরিভাষা ‘উপাত্ত’ ব্যবহার করলে এই আইন প্রণয়নের মূল উদ্দেশ্যই ব্যাহত হবে। তাই ভবিষ্যতে এই আইনের বিধানগুলো বাস্তবায়নের ক্ষেত্রে সময়ে সময়ে সেগুলোর ব্যাখ্যার ঝামেলা এড়াতে প্রস্তাবিত আইনের শিরোনাম ‘ব্যক্তিগত তথ্য সুরক্ষা আইন’ বিবেচনা করাই যৌক্তিক হবে।

২.

‘ব্যক্তিগত তথ্য’ শব্দগুলোর কোনো সংজ্ঞা বা উদাহরণ প্রস্তাবিত খসড়ায় নেই। এমনকি কিছুদিন আগেও ডিজিটাল নিরাপত্তা আইনের প্রদত্ত ক্ষমতাবলে সংরক্ষিত ডেটার সুরক্ষার লক্ষ্যে বিধি আকারে যে ‘তথ্য গোপনীয়তা ও সুরক্ষা বিধিমালা, ২০১৯’ শিরোনামে একটি বিধিমালা প্রকাশ হয়েছিল, সেখানেও এ–সম্পর্কিত সংজ্ঞা অন্তর্ভুক্ত ছিল। ব্যক্তিগত তথ্য শব্দগুলোর সংজ্ঞা ছাড়া আইনটি পাস হলে, তা মারাত্মকভাবে অপব্যবহারের সুযোগ আছে।

৩.

ব্যক্তিগত তথ্য প্রক্রিয়াকরণ ছাড়া ইন্টারনেটভিত্তিক কোনো ধরনের সেবা নেওয়া যায় না। ব্যক্তিগত তথ্য সুরক্ষা–সম্পর্কিত আইনে ব্যক্তিগত তথ্য বৈধভাবে প্রক্রিয়া করতে কিছু কিছু বৈধ ক্ষেত্র সম্পর্কে বিধান অন্তর্ভুক্ত করা দরকার। খসড়ায় কিছু বিধানের কথা বলা হয়েছে ছড়িয়ে-ছিটিয়ে।

৪.

ব্যক্তিগত তথ্য সুরক্ষা–সম্পর্কিত যেকোনো আইনে ব্যক্তিগত তথ্যসম্পর্কিত ব্যক্তির সম্মতির বিষয়টি অত্যন্ত গুরুত্বপূর্ণ। সে কারণে বিশ্বের অধিকাংশ দেশে এই বিধানটি বিশেষ গুরুত্ব দিয়ে অন্তর্ভুক্ত করা হয়। আলোচ্য আইনের খসড়ায় বিষয়টি ভাসা ভাসা এবং এলোমেলোভাবে অন্তর্ভুক্ত করা হয়েছে। সে কারণেই এই বিধানটি অপব্যবহারের আশঙ্কা আছে।

৫.

খসড়ায় ব্যক্তিগত তথ্য সুরক্ষা–সম্পর্কিত নীতি সম্পর্কে বা ব্যক্তিগত তথ্য সংশ্লিষ্ট ব্যক্তির বিভিন্ন অধিকার সম্পর্কে বলা হয়েছে। কিন্তু এই অধিকারগুলো সম্পর্কে কীভাবে ব্যক্তিগত তথ্য সংশ্লিষ্ট ব্যক্তি জানতে পারবেন, সে ব্যাপারে কোনো বিধান নেই। যদিও বলা হয়েছে, যে ব্যক্তিগত তথ্য সংগ্রহের আগে বা তৃতীয় পক্ষের কাছে প্রকাশের ক্ষেত্রে লিখিত নোটিশ দিতে হবে। বিভিন্ন দেশে এ সম্পর্কে অন্তত দুটি ভাষায় বিধান লিখে ওয়েবসাইটে দেওয়া হয়। বাংলাদেশের ক্ষেত্রে, রাষ্ট্রীয় ভাষা বাংলা এবং ইংরেজিতে গোপনীয়তার নীতিমালা (Privacy Policy) তৈরি করে সেটি ওয়েবসাইটে দিয়ে দেওয়ার বিধান থাকা জরুরি।

৬.

বাংলাদেশ সরকার Framework Agreement on Facilitation of Cross-border Paperless Trade in Asia and the Pacific স্বাক্ষর করেছে। ২০২১ সালের ফেব্রুয়ারি মাস থেকে এটি কার্যকর হয়েছে। এ ধরনের কাজ করতে গেলে অবশ্যই কিছু ব্যক্তিগত তথ্য দেশের বাইরে হস্তান্তর করতে হবে। কিন্তু এই তথ্যগুলো কীভাবে হস্তান্তর করা হবে, সে বিষয়ে কোনো ধরনের বিধান আইনের খসড়ায় নেই।

৭.

এই আইনে সরাসরি বিপণন, সাক্ষী সুরক্ষা, কুকিজ, স্প্যাম ইত্যাদি বিষয়ের গুরুত্বপূর্ণ বিধানগুলো অন্তর্ভুক্ত করা হয়নি।

৮.

এ ধরনের আইনের উদ্দেশ্য যথাযথ এবং কার্যকরীভাবে পূরণের জন্য ব্যাপকভাবে জনসচেতনতামূলক উদ্যোগ নেওয়া ও বিভিন্ন পর্যায়ের কর্মকর্তা–কর্মচারীদের প্রশিক্ষণ দেওয়ার বিষয়টি অত্যন্ত গুরুত্বপূর্ণ। খসড়ায় এ ধরনের কোনো বিধান নেই।

খ. আইনটি বাস্তবায়নের ক্ষেত্রে উদ্বেগ

ব্যক্তিগত তথ্য সুরক্ষার জন্য সারা বিশ্বে বিভিন্ন ধরনের আইনের মডেল রয়েছে। ১৩৭টি দেশের অভিজ্ঞতা এবং বাংলাদেশের পরিপ্রেক্ষিতে ডিজিটাল নিরাপত্তা আইন, ২০১৮–এর অপপ্রয়োগের বিষয়গুলো মাথায় নিয়ে আলোচ্য আইনটির বাস্তবায়নের ক্ষেত্রে উদ্বিগ্ন হওয়ার যথেষ্ট কারণ রয়েছে।

১.

খসড়াটি আইন হওয়ার পরও এর যথাযথ বাস্তবায়নের জন্য অনেকগুলো বিধি প্রণয়ন করতে হবে। ডিজিটাল নিরাপত্তা আইনের অভিজ্ঞতা বিবেচনায় নিয়ে বলা যায়, এই আইনটির বিধানগুলোর অপব্যবহার হওয়ার সুযোগ রয়েছে। ডিজিটাল নিরাপত্তা আইনে কমপক্ষে ২৫ বার বিধি প্রণয়নের কথা বলা হয়েছে, যদিও গত চার বছরে একটিমাত্র বিধি প্রণয়ন করা সম্ভব হয়েছে। কিন্তু আইনটির ব্যাপক অপব্যবহারের কারণে আন্তর্জাতিক অঙ্গনে দেশের সুনাম ব্যাপকভাবে বিনষ্ট হয়েছে। এ ক্ষেত্রে একই অভিজ্ঞতার পুনরাবৃত্তির আশঙ্কা করার যথেষ্ট কারণ রয়েছে।

২.

যেকোনো আইনের প্রস্তাবনা আইনের উদ্দেশ্য ব্যাখ্যায় গুরুত্বপূর্ণ ভূমিকা পালন করে। এই আইনের খসড়ায় প্রস্তাবনা অংশে খুব সাধারণ কিছু বিষয় ভাসা ভাসাভাবে অন্তর্ভুক্ত করা হয়েছে। যেখানে বিশ্বের অনেক দেশের সংবিধানে গোপনীয়তার অধিকার স্বীকৃত নয়, সেখানে বাংলাদেশের সংবিধানের অনুচ্ছেদ ৪৩ (খ)-তে এই অধিকারটির অন্তর্ভুক্তি গর্ব করার মতো। কিন্তু খসড়ায় এই ব্যাপারটিকেও অন্তর্ভুক্ত করা হয়নি।

৩.

খসড়ার ২ ধারায় “ব্যক্তি” শব্দটির সংজ্ঞা বিবেচনায় নিলে আইনের বিধানগুলো বাংলাদেশের সব মানুষের ওপর প্রযোজ্য হবে। এ ধরনের একটি বিধান বাংলাদেশের আর্থসামাজিক প্রেক্ষাপটে আদৌ বাস্তবায়ন করা সম্ভব কি না, তা বিবেচনার দাবি রাখে। কৃষক, দিনমজুর, ভিক্ষুক বা প্রান্তিক জনগোষ্ঠীর কথা না হয় বাদই দেওয়া হলো, বাংলাদেশের ক্ষুদ্র ও মাঝারি প্রতিষ্ঠানের পক্ষেও কি এই আইনের বিধান পালন করা সম্ভব? যারা প্রচুর ব্যক্তিগত তথ্য প্রক্রিয়া করে এমন প্রতিষ্ঠানগুলো আইনের আওতায় আসতে পারে। যেমন টেলিযোগাযোগ সেবাদানকারী প্রতিষ্ঠান, ব্যাংক, বিমা, শিক্ষাপ্রতিষ্ঠান, হাসপাতাল, অন্যান্য সেবাদানকারী প্রতিষ্ঠান। তারপর তাদের অভিজ্ঞতা বিবেচনায় নিয়ে পরের ধাপে এবং পর্যায়ক্রমে এর পরিধি বাড়ানো যেতে পারে।

৪.

খসড়ার ৩ ধারায় আপাতত বলবৎ অন্য কোনো আইনের বিধানের ওপর এ আইনের বিধানগুলোকে প্রাধান্য দেওয়ার কথা বলা হয়েছে। কিন্তু খেয়াল করলে দেখা যাবে যে এই বিধানটি একেবারেই বাস্তবতাবিবর্জিত।

৫.

আইনের খসড়ায় নবম অধ্যায়ে উপাত্ত সুরক্ষা কার্যালয় সম্পর্কে বিধান করতে গিয়ে ডিজিটাল নিরাপত্তা আইন মোতাবেক গঠিত ডিজিটাল সুরক্ষা এজেন্সিকে বিবেচনা করা হয়েছে। তাকে সীমাহীন ও নিরঙ্কুশ ক্ষমতা দেওয়া হয়েছে। এই ক্ষমতা আবার বাংলাদেশের সংবিধানে বর্ণিত বিভিন্ন মানবাধিকার এবং বিশেষ করে গোপনীয়তার অধিকারের সঙ্গে সাংঘর্ষিক।

সারা বিশ্বে প্রচলিত ব্যক্তিগত তথ্য সুরক্ষাবিষয়ক আইনের বিধানগুলো পর্যালোচনা করলে দেখা যাবে যে আইনটির বিধান বাস্তবায়নে সব জায়গায় একটি স্বাধীন ও নিরপেক্ষে প্রতিষ্ঠান গঠন করা হয়েছে। তাই আমাদের প্রস্তাব, এ সম্পর্কে বাংলাদেশের দুর্নীতি দমন কমিশন বা মানবাধিকার কমিশনের মতো একটি স্বাধীন ও বিশেষায়িত প্রতিষ্ঠান প্রতিষ্ঠা করা জরুরি।

৬.

ধারা ৫৯–এ অপরাধের তদন্ত ক্ষমতা পুলিশ পরিদর্শক মর্যাদার নিচে নয়, এমন কোনো পুলিশ কর্মকর্তাকে দেওয়া হয়েছে। ব্যক্তিগত তথ্য সুরক্ষা আইনের মতো একটি বিশেষায়িত বিষয়ে একজন পুলিশ কর্মকর্তার তদন্ত করার মতো কারিগরি দক্ষতা এবং যোগ্যতা আছে কি না, তা বিবেচনায় নেওয়া হয়নি।

৭.

উদাহরণস্বরূপ বলা যায়, ব্যক্তিগত তথ্যের নিয়ন্ত্রক এবং প্রক্রিয়াকারীরা ‘অতিমানব’। এই আইনের বিধানগুলো বাস্তবায়নের জন্য সব ধরনের কারিগরি এবং আর্থিক দায় নেওয়ার ভার তাদের ওপর চাপিয়ে দেওয়া হয়েছে। মজার ব্যাপার হচ্ছে, ধারা ২-এ নিয়ন্ত্রক এবং প্রক্রিয়াকারী এই শব্দগুলোর সংজ্ঞাতে ‘সরকারি কর্তৃপক্ষ’ অন্তর্ভুক্ত আছে। বাংলাদেশের বিভিন্ন স্তরের সরকারি অফিসে সাধারণ মানুষ যে হয়রানির শিকার হয়, তাতে করে সরকারি কর্তৃপক্ষ এই বিধানগুলো পালন করতে কতটুকু সক্ষম, সেই প্রশ্ন আছে।

দেখা যাচ্ছে, দেশে কেবল একটি আইনের প্রয়োজনে খসড়া তৈরি হয়েছে। কিন্তু এর বাস্তবায়নের দিকগুলো বিবেচনা করা হয়নি। ধারণা করতে অসুবিধা হয় না যে এর ফলে এটি মূল উদ্দেশ্য অর্জনে ব্যর্থ হবে। তড়িঘড়ি করে প্রণয়ন করা অন্যান্য আইন, বিশেষ করে ডিজিটাল নিরাপত্তা আইনের অপপ্রয়োগের মতোই ভীষণ সমালোচনার জন্ম দেবে। ফলে মানুষের হয়রানি বাড়বে এবং আন্তর্জাতিক অঙ্গনে দেশের ভাবমূর্তি আবারও নষ্ট হবে।